Volver a los artículos
Gestion del consentimiento cookies: guía RGPD 2026
Consentimiento RGPD Cookies CMP

Gestion del consentimiento cookies: guía RGPD 2026

DPLIANCEProveedor de soluciones Data e IA soberanas
5 min de lectura

La gestion del consentimiento de cookies no es un tema tecnico accesorio. Es el punto de contacto entre su sitio web, el derecho europeo y la confianza de sus usuarios. En 2025, la AEPD impuso 40 millones de euros en sanciones repartidos en 299 expedientes (+14 % respecto a 2024). Las autoridades europeas intensifican sus acciones. La gran mayoria de los incumplimientos se refieren al consentimiento: cookies depositadas antes del acuerdo, prueba inexistente, rechazo mal implementado.

Esta guía cubre todo lo que un editor de sitio debe saber para implementar una gestion del consentimiento conforme al RGPD en 2026.

Por que la gestion del consentimiento es crucial

Un riesgo financiero real

Los montos de las sanciones de las autoridades de proteccion de datos ya no son simbolicos. En 2025, la AEPD impuso 40 millones de euros en sanciones (299 expedientes). Los casos Aena (10 M EUR), Vodafone España (8 M EUR) y CaixaBank (6 M EUR) demuestran que nadie esta a salvo. Las pymes y ETI no se libran: las pymes representan la mayoría de las sanciones de la AEPD, y la autoridad invita explicitamente a todos los organismos privados y publicos a auditar sus sitios.

Un riesgo reputacional

Un banner de cookies no conforme es visible para cada visitante. Es a menudo el primer punto de contacto con su marca. Un dark pattern envia un señal claro: no respeta las elecciones de sus usuarios.

La directiva ePrivacy (transpuesta en cada Estado miembro) y el articulo 7 del RGPD no dejan lugar a la interpretacion.

Como las autoridades de proteccion de datos controlan

Controles en linea automatizados

Las autoridades de proteccion de datos analizan el trafico de red generado por los sitios web. Utiliza herramientas automatizadas que reproducen el comportamiento de un usuario: carga de la pagina, inspeccion de cookies depositadas antes de cualquier interaccion, verificacion de las peticiones de red salientes.

Verificacion de la efectividad de las elecciones

Las autoridades no se limitan a verificar la presencia de un banner. Prueban si el rechazo es efectivamente respetado en la implementacion tecnica. En el caso Conde Nast / Vanity Fair (noviembre de 2025), la CNIL constato que cookies seguian siendo depositadas y leidas despues de que el usuario habia hecho clic en “Rechazar todo”. La multa de 750 000 euros sancionaba especificamente este desfase entre la apariencia de conformidad y la realidad tecnica.

Elegir un CMP: los criterios que importan

1. Bloqueo efectivo de los scripts

El CMP debe bloquear tecnicamente la ejecucion de los scripts de terceros mientras el usuario no haya consentido. No un bloqueo simbolico — un bloqueo real, verificable por inspeccion del trafico de red.

2. Prueba de consentimiento server-side

La prueba del consentimiento (articulo 7 RGPD) debe almacenarse del lado del servidor, con un identificador unico y una marca de tiempo. Una cookie local que contiene “consent=true” no constituye una prueba.

3. Localizacion de los datos

Donde se almacenan los datos de consentimiento? En un proveedor americano sometido al Cloud Act? En sus propios servidores? Los datos de consentimiento son ellos mismos datos personales.

4. Rendimiento

El widget de consentimiento se carga en cada pagina, para cada visitante. Un script pesado degrada los Core Web Vitals, penaliza su SEO y deteriora la experiencia del usuario.

5. Conformidad reglamentaria real

Un CMP puede estar certificado IAB TCF y sin embargo no ser conforme a las exigencias del RGPD. Verifique: el boton “Rechazar todo” esta presente por defecto en la primera pantalla? Las cookies estan realmente bloqueadas antes del consentimiento?

Comparativa de soluciones del mercado

Tarteaucitron

Solucion open source francesa, gratuita. Puntos fuertes: gratuidad, comunidad activa, bloqueo de scripts por tags. Puntos debiles: sin prueba de consentimiento server-side nativa, configuracion tecnica necesaria, mantenimiento enteramente a su cargo.

Axeptio

Solucion francesa, interfaz cuidada. Puntos fuertes: UX trabajada y original, buena integracion con los principales CMS. Puntos debiles: alojamiento de datos en Axeptio, tarificacion que sube con el trafico, sin prueba server-side con correlation IDs.

Didomi

Solucion orientada a grandes cuentas. Puntos fuertes: compatible TCF 2.2, interfaz de reporting avanzada, soporte multi-paises. Puntos debiles: complejidad de configuracion, coste elevado, datos alojados en Didomi.

CookieBot (Usercentrics)

Solucion danesa, muy extendida en Europa. Puntos fuertes: escaneo automatico de cookies, amplia base de datos de scripts conocidos. Puntos debiles: datos alojados fuera de Francia, widget a veces pesado, tarificacion por numero de paginas.

Cookilio (DPLIANCE)

Solucion francesa, concebida especificamente para la conformidad con el RGPD. Puntos fuertes:

  • Cero scripts antes del consentimiento: bloqueo tecnico real
  • Prueba server-side: cada eleccion se registra del lado del servidor con un correlation ID unico
  • Autoalojamiento: los datos de consentimiento permanecen en sus propios servidores. Soberania total
  • Widget ultra-ligero: construido en Preact, impacto minimo en el rendimiento
  • Banner multi-etapas: wizard que guia al usuario sin dark pattern
  • Tarificacion simple: 9 EUR sin impuestos/mes + 250 EUR sin impuestos de instalacion

Descubrir Cookilio

FAQ

Un CMP es obligatorio?

Tecnicamente, no. El RGPD no impone el uso de un CMP como tal. Imponen la recogida de un consentimiento conforme, el bloqueo de scripts antes del consentimiento, y la conservacion de una prueba. En la practica, estas obligaciones son casi imposibles de cumplir sin una herramienta dedicada.

El TCF 2.2 es obligatorio?

No. El TCF es un estandar de la industria publicitaria (IAB Europe), no una obligacion legal. Es pertinente si trabaja con socios publicitarios programaticos. Pero ser conforme TCF no significa ser conforme al RGPD.

Se puede usar el interes legitimo para las cookies analytics?

Las autoridades de proteccion de datos no reconocen el interes legitimo como base juridica para el deposito de cookies. Para las cookies de medicion de audiencia, existe una exencion de consentimiento, pero bajo condiciones estrictas.

Como verificar que mi CMP bloquea realmente los scripts?

Abra las herramientas de desarrollo de su navegador (pestaña “Red”), elimine todas las cookies, recargue la pagina y observe las peticiones de red antes de interactuar con el banner. Si ve llamadas hacia dominios de terceros, su CMP no bloquea efectivamente los scripts.


Fuentes: CNIL, Recomendacion cookies del 17 de septiembre de 2020 — CNIL, Dark patterns in cookie banners — CNIL, Sancion Google 325 M EUR — CNIL, Sancion Shein 150 M EUR